Dynamische toegangscontrolelijsten per gebruiker configureren in ISE

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 mei 2023
Document-id:212419

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de configuratie van een dynamische toegangscontrolelijst (dACL) per gebruiker voor gebruikers die aanwezig zijn in een type identiteitsarchief.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van beleidsconfiguratie op Identity Services Engine (ISE).

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    •  Identity Services Engine 3.0
    •  Microsoft Windows Active Directory 2016

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De configuratie van een dynamische toegangscontrolelijst per gebruiker is voor gebruikers die aanwezig zijn in het interne identiteitsarchief van ISE of in een extern identiteitsarchief. 

    Configureren

    Per-gebruiker dACL kan worden geconfigureerd voor elke gebruiker in de interne winkel die een aangepast gebruikerskenmerk gebruikt. Voor een gebruiker in de Active Directory (AD), kan elke eigenschap van type string worden gebruikt om hetzelfde te bereiken. Deze sectie verschaft informatie die vereist is om de eigenschappen van zowel ISE als AD te kunnen configureren, samen met de configuratie die vereist is op ISE voor het werken met deze functie. 

    Configureer een nieuw aangepast gebruikerskenmerk op ISE

    Ga naar Beheer > Identity Management > Instellingen > Aangepaste gebruikerskenmerken. Klik op de knop +, zoals in de afbeelding, om een nieuw kenmerk toe te voegen en de wijzigingen op te slaan. In dit voorbeeld is de naam van het aangepaste kenmerk ACL.

    Configure a New Custom User Attribute on ISE

    DACL configureren


    Om downloadbare ACL’s te configureren navigeert u naar Beleid > Beleidselementen > Resultaten > Autorisatie > Downloadbare ACL’s. Klik op Add (Toevoegen). Geef een naam, inhoud van de dACL op en sla de wijzigingen op. Zoals in het beeld wordt getoond, is de naam van dACL NotMuchAccess.

    Configure dACL

    Een interne gebruikersaccount configureren met het aangepaste kenmerk

    Ga naar Beheer > Identity Management > Identity > Gebruikers > Add. Maak een gebruiker en vorm de aangepaste attribuutwaarde met de naam van de dACL die de gebruiker moet krijgen wanneer geautoriseerd. In dit voorbeeld is de naam van dACL NotMuchAccess

    Configure an Internal User Account with the Custom Attribute

    Een AD-gebruikersaccount configureren 

    Navigeer in de Active Directory naar de eigenschappen van de gebruikersaccount en ga vervolgens naar het tabblad Attribute Editor. Zoals in de afbeelding wordt getoond, is CSPpolicyName het kenmerk dat wordt gebruikt om de dACL-naam te specificeren. Echter, zoals eerder vermeld, elke eigenschap die een string waarde kan accepteren kan ook gebruikt worden.

    Configure a AD User Account

    Attributen van AD naar ISE importeren 

    Om het attribuut te gebruiken dat op AD is geconfigureerd, moet ISE het importeren. Om het kenmerk te importeren, navigeer je naar Beheer > Identity Management > Externe Identity Sources > Active Directory > [Join point geconfigureerd] > tabblad Attributen. Klik op Add en selecteer vervolgens Attributen uit Directory. Geef de naam van de gebruikersaccount op in de advertentie en klik vervolgens op Kenmerken ophalen. Selecteer het kenmerk dat voor de dACL is ingesteld, klik op OK en klik vervolgens op Opslaan. Zoals in de afbeelding wordt getoond, is CSPpolicyName het kenmerk.

    Use Attribute Configured on AD to Import the Attribute from AD to ISE

    Import Complete

    Autorisatieprofielen voor interne en externe gebruikers configureren

    Om de profielen van de Vergunning te vormen, navigeer aan Beleid > Elementen van het Beleid > Resultaten > Vergunning > Profielen van de Vergunning. Klik op Add (Toevoegen). Geef een naam en kies de dACL-naam als Interne gebruiker:<naam van aangepast kenmerk gemaakt> voor interne gebruiker. Zoals in de afbeelding, voor interne gebruiker, wordt het profiel InternalUserAttributeTest geconfigureerd met de dACL geconfigureerd als InternalUser:ACL.

    Configure Authorization Profiles for Internal and External Users

    Voor externe gebruiker, gebruik <Join point name>:<attribuut geconfigureerd op AD> als dACL-naam. In dit voorbeeld wordt het profiel ExternalUserAttributeTest geconfigureerd met de dACL die is geconfigureerd als RiniAD:aCSPpolicyName waarbij RiniAD de naam Join Point is.

    Profile ExternalUserAttributeTest is Configured with the dACL

    Autorisatiebeleid configureren

    Het autorisatiebeleid kan worden geconfigureerd bij Policy > Policy Sets op basis van de groepen waarin de externe gebruiker aanwezig is op de AD en ook op basis van de gebruikersnaam in het ISE interne identiteitsarchief. In dit voorbeeld is testuserexternal een gebruiker die aanwezig is in de groep rinsantr.lab/Gebruikers/Test Group en testuserinternal is een gebruiker die aanwezig is in het ISE-identiteitsarchief.

    Configure Authorization Policies

    Verifiëren

    Gebruik dit gedeelte om te controleren of de configuratie werkt.

    Controleer de actieve RADIUS-logbestanden om de gebruikersverificaties te verifiëren.

    Interne gebruiker:

    Check the RADIUS Live Logs to Verify the User Authentications - Internal User

    Externe gebruiker:

    Check the RADIUS Live Logs to Verify the User Authentications - External User

    Klik op het pictogram vergrootglas op de succesvolle gebruikersverificaties om te controleren of de verzoeken het juiste beleid hebben gedrukt in het gedeelte Overzicht van de gedetailleerde bewegende logbestanden.

    Interne gebruiker:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - Internal User

    Externe gebruiker:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - External User

    Controleer in de sectie Andere kenmerken van de gedetailleerde bewegende logbestanden of de gebruikerskenmerken zijn hersteld.

    Interne gebruiker:

    Verify if the User Attributes have been Retrieved - Internal User

    Externe gebruiker:

    Verify if the User Attributes have been Retrieved - External User

    Controleer de sectie Resultaat van de gedetailleerde bewegende logbestanden om te verifiëren of het dACL-kenmerk als deel van Access-Accept wordt verzonden.

    Verify if dACL Attribute is Sent as Part of Access-Accept

    Controleer ook de actieve RADIUS-logbestanden om te controleren of de dACL wordt gedownload na de gebruikersverificatie.

    Verify if the dACL is Downloaded after the User Authentication

    Klik op het vergrootglaspictogram op het succesvolle dACL-downloadlogboek en controleer het gedeelte Overzicht om de dACL-download te bevestigen.

    Verify the Overview Section to confirm the dACL Download

    Controleer de resultaatsectie van dit gedetailleerde rapport om de inhoud van dACL te verifiëren.

    Verify the Contents of the dACL

    Problemen oplossen

    Er is momenteel geen specifieke informatie beschikbaar om deze configuratie problemen op te lossen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    16-May-2023
    Toegevoegd Alt Tekst en Achtergrondinformatie. Bijgewerkte Inleiding, machinevertaling, Rondjes en Opmaak.
    1.0
    06-Nov-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rini Santra
      Cisco TAC Engineer
    • Surendra Reddy
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten